开源反向代理 Traefik 暴露用户的 TLS 证书密钥

翻译：360代码卫士团队

本周一，由法国软件公司 Containous 创建并管理的一款非常流行的开源反向代理和加载平衡解决方案Traefik 修复了一个严重的问题 (CVE-2018-15598)。在某种条件下，该问题可泄露在云服务器上运行基础设施的公司所使用的 TLS 证书密钥。

在现代的 web 运维环境中，开发人员在 Docker 或 Kubernetes 服务器集群前部署 Traefik 代理/均衡器以便控制流量是如何流向某公司的 IT 基础设施如后端、内联网、公开网站、移动应用程序、API等。

由于 Traefik 是一个先进的解决方案，因此它还具备一个后端面板以帮助用户更好地管理 Traefik 设置。

安全研究员 Ed Foudil 发现，当企业将 Traefik 控制面板暴露到互联网时，远程攻击者能够在查询端口8080上后端控制面板的 API。

Foudil 发现其中的 API 端点能导致攻击者询问 Traefik 实例关于 TLS 设置的详情，甚至是提取公司 TLS 证书密钥的副本。这个密钥将允许攻击者解码已遭拦截的流量或加密 web 流量 (HTTPS) 并使其看起来就像是来自另一家公司的官方站点。

Foudil 表示在调查某漏洞奖励平台的安全性时发现了这个 bug。其他安全研究员也发现了类似的 Traefik 后端暴露多家其它公司的基础设施。最有意思的发现要数英国安全研究员 Robbie Wiggins，他发现了一个托管在某个特别 Traefik 实例背后的暗网 .onion 域名。

但不止如此，Wiggins 还表示他还“找到 Kubernetes 系统的证书以及一家营销公司的通配符 SSL 证书。”

Wiggins 公布了一个脚本，从 Shodan 上搜索可知，2700多个 Traefik 实例具有开放的控制板。

周一，Containous 发布 Traefik 1.6.6 修复了这个问题。在这个新版本中，当管理员启用控制板的 API 时，他们会看到关于这一操作的警告信息，以及提到打开 API 可能会暴露 TLS 数据。

这个新的警告信息指出，“启用 API 将会暴露所有的配置元素，包括秘密在内。在生产环境中不建议打开 API，除非得到认证和授权的保护。”

由于只有那些拥有大量内部网络和 IT 基础设施的站点才会使用 Traefik，这些设置中的任何配置不当都可能导致产生很大的安全问题，至少影响数百万用户使用的产品。Traefik 网站列出了使用 Traefik 实例的两家公司如 Mozilla Foundation 和 New Relic 分析服务。

Foudil 表示，“我能想象出我们说到利用这个问题时，人们现在正在搜寻 Traefik 实例。”他还赞赏了 Containous 对该问题的快速响应，在第一份报告发出后的一天之内就解决了所报告的问题。

建议企业审查自己的 Traefik 设置并尽快禁用对 Traefik 控制板和 API 的公开访问权限。

原文链接

https://www.bleepingcomputer.com/news/security/cloud-product-accidentally-exposes-users-tls-certificate-private-keys/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。